防止 ASP.NET Web 应用程序上的 SQL 注入

【问题标题】:Preventing SQL Injection on ASP.NET Web Application防止 ASP.NET Web 应用程序上的 SQL 注入
【发布时间】:2011-12-07 07:48:13
【问题描述】:

我是 C# 和 ASP.NET 的新手。

我正在使用 VS2005 C# 和 SQL Server 2005 并且已经做了一些关于防止 SQL 注入的研究

我的 服务器端 Web 应用程序中有几个函数,我不确定它们是否需要输入验证。

1) 登录工具箱中的控件。我已经直接从 VS Toolbox 实现了登录控件,并且我尝试使用 RegularExpressionValidator 作为我的登录工具,但它似乎不起作用。 Microsoft 是否已经对该工具进行了内置验证?

2) 上传 excel 文件表到 SQL Server 数据库。我有一个功能,允许用户将 excel 文件表上传到数据库中。一开始我觉得没有必要验证它,因为没有打开的 sql 查询,但之后我问自己是否可以让用户在 excel 文件中输入 SQL 查询,这将导致上传期间的 SQL 注入。以下是我的上传代码sn-p,如果需要验证,期待建议:

string connStr = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + strUploadFileName + ";Extended Properties=Excel 8.0;";

using (OleDbConnection connection =
             new OleDbConnection(connStr))
{
    string selectStmt = string.Format("Select [COLUMNS]  FROM [userlist$]");

    OleDbCommand command = new OleDbCommand(selectStmt, connection);

    connection.Open();
    Console.WriteLine("Connection Opened");
    // Create DbDataReader to Data Worksheet
    using (DbDataReader dr = command.ExecuteReader())
    {
        // SQL Server Connection String
        string sqlConnectionString = "Data Source=<datasource>";

        // Bulk Copy to SQL Server
        using (SqlBulkCopy bulkCopy =
                   new SqlBulkCopy(sqlConnectionString))
        {
            bulkCopy.DestinationTableName = "UserDB";
            bulkCopy.WriteToServer(dr);;
        }
    }
}

3) INSERT 语句。我有几个INSERT 语句,主要用于将新记录插入数据库。由于这些语句实际上并不从数据库中 grep 数据,因此我不确定是否需要验证。以下是INSERT 声明示例:

SqlConnection conn = new SqlConnection("<datasource>");
string sql = string.Format("INSERT INTO [UserData] (Username, Password, Role, Membership, DateOfReg) VALUES ('" + un.Text + "', '" + pw.Text + "', '" + role.Text + "', '" + ms.Text + "', '" + dor.Text + "')"); --> all *.Text are textboxes on the webpage

SqlCommand cmd = new SqlCommand(sql, conn);
    conn.Open();
    cmd.ExecuteNonQuery();
    conn.Close();

4) 网页中的搜索功能。我有几个通过 GridView 显示数据的 .aspx 页面。下面是一个使用文本框和下拉列表过滤器的搜索查询示例:

SqlDataSource1.SelectCommand = "SELECT * FROM [UserData] where [" + DropDownList1.Text + "] like '%" + searchTextBox.Text + "%'";
SqlDataSource1.DataBind();

我想知道在上面的示例中,对 sql 语句本身进行输入验证检查而不创建其他方法和函数的最简单方法是什么,正如我所看到的 regular expression并使用mysql_real_escape_string

提前感谢您提供的任何意见和建议。

给出直接的例子也很好。

【问题讨论】:

    标签: c# asp.net sql validation


    【解决方案1】:

    在这些示例中从不需要验证(检查引号等内容),并且永远不应该使用(除了少数情况,白名单可能是合适的)。

    需要的是参数化。使用参数而不是串联。

    SqlBulkCopy 直接处理数据,所以很好,但是:

    SqlConnection conn = new SqlConnection("<datasource>");
string sql = string.Format("INSERT INTO [UserData] (Username, Password, Role, Membership, DateOfReg) VALUES ('" + un.Text + "', '" + pw.Text + "', '" + role.Text + "', '" + ms.Text + "', '" + dor.Text + "')"); --> all *.Text are textboxes on the webpage

SqlCommand cmd = new SqlCommand(sql, conn);
    conn.Open();
    cmd.ExecuteNonQuery();
    conn.Close();

    只是要求被可怕地滥用。 您的系统已损坏。你应该有类似的东西:

    cmd.CommantText = "INSERT INTO [UserData] (Username, ...) VALUES (@username, ...)";
cmd.Parameters.AddWithValue("Username", un.Text);
...

    或任何其他添加参数的方式。

    您的示例 4 是一个有趣的示例,它是白名单可能适用的示例; SQL Server 不允许您参数化列名,但您无法信任来自客户端的值。如果您需要那种“根据输入选择列”,则必须根据预期值对其进行测试:

    string[] allowedColumns = new[] {"Name", "Description", "Foo", "Bar"};
string colName = ...
if(!allowedColumns.Contains(colName)) colName = allowedColumns[0]; // DENIED!

    根据预期值将该列列入白名单后,您现在知道该值不是"] where 1=1 drop table Users drop table Customers --"

    但是!搜索值应参数化,即

    `... LIKE @searchValue`

    其中searchValue 参数的值是"%" + something.Text + "%"

    【讨论】:

    • @Marc 谢谢你的建议。 从不要求意味着根本不需要验证上述示例?
    • @RUiHAO 没错; 从不需要...在使用参数化时。
    • @Andrew 我明白了。那么我可以假设上述函数和语句对于 SQL 注入是相当安全的吗?
    • @RUiHAO ...它们非常容易受到攻击,因为它们没有使用参数化。
    • @RUiHAO nonononononono 那不是我说的;示例 3 和 4 完全不安全。我的观点:验证不是答案;参数化是。
    【解决方案2】:

    创建 SqlCommand 并将数据传递为 SqlParameter 将为您完成任务

    MSDN:SqlCommand.Parameters Property

    private static void UpdateDemographics(Int32 customerID,
    string demoXml, string connectionString)
{
    // Update the demographics for a store, which is stored 
    // in an xml column. 
    string commandText = "UPDATE Sales.Store SET Demographics = @demographics "
        + "WHERE CustomerID = @ID;";

    using (SqlConnection connection = new SqlConnection(connectionString))
    {
        SqlCommand command = new SqlCommand(commandText, connection);
        command.Parameters.Add("@ID", SqlDbType.Int);
        command.Parameters["@ID"].Value = customerID;

        // Use AddWithValue to assign Demographics.
        // SQL Server will implicitly convert strings into XML.
        command.Parameters.AddWithValue("@demographics", demoXml);

        try
        {
            connection.Open();
            Int32 rowsAffected = command.ExecuteNonQuery();
            Console.WriteLine("RowsAffected: {0}", rowsAffected);
        }
        catch (Exception ex)
        {
            Console.WriteLine(ex.Message);
        }
    }
}

    【讨论】:

    • 感谢您的建议。如何将数据作为 SqlParameter 传递?示例或网站将不胜感激。
    • @RUiHAO - 像这个 command.Parameters.Add("@ID", SqlDbType.Int);代码示例中已经存在
    【解决方案3】:

    最简单的方法是将参数输入到sql命令中,而不是直接传递。如果您通过参数传递值,.net 和 Sql 将处理传递的数据类型。

    例如,请参阅以下内容:

    SelectCommand.CommandText = "Select * From [UserData] where ColumnValue like  @RowValue";
SelectCommand.Parameters.AddWithValue("@RowValue","% ActualRowValue %");

    您可以使用标记添加参数。参考asp:SqlDataSource select command with parameters

    【讨论】:

    • 你不能参数化列
    • 实际上没有参数化;它正在寻找包含 literal ' @RowValue ' 的东西 - 这与包含来自 parameter @RowValue 的值的东西非常不同。应该是like '%' + @RowValue + '%'
    • @MarcGravell,谢谢你实际上是在我这样写的一些混乱的情绪中。
    猜你喜欢
    • 1970-01-01
    • 2011-04-30
    • 2013-02-28
    • 2010-09-08
    • 1970-01-01
    • 2016-08-04
    • 2012-03-19
    • 1970-01-01
    • 2019-02-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode